Puerta trasera DOPLUGS

El Mustang Panda, un actor de amenazas con vínculos con China, ha empleado una variante personalizada de la puerta trasera PlugX (también conocida como Korplug ), conocida como DOPLUGS, para apuntar a varias naciones asiáticas. Esta versión personalizada del malware PlugX se diferencia de la variante típica por carecer de un módulo de comando de puerta trasera totalmente integrado; en cambio, está diseñado específicamente para descargar el último módulo. El foco principal de los ataques DOPLUGS ha estado en objetivos situados en Taiwán y Vietnam, con ocurrencias menores en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

Se cree que el Mustang Panda ha estado activo durante más de una década

El Mustang Panda, también conocido por varios alias, como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP.Hex depende en gran medida del uso de PlugX como herramienta principal. . Este actor de amenazas ha estado activo desde al menos 2012, aunque sus actividades ganaron la atención del público en 2017.

El modus operandi del Mustang Panda implica la ejecución de campañas de phishing meticulosamente diseñadas para ofrecer una variedad de malware personalizado. Desde 2018, se sabe que el actor de amenazas implementa sus propias versiones personalizadas de PlugX, incluidas RedDelta , Thor, Hodur y DOPLUGS (distribuidas a través de una campaña denominada SmugX).

Las cadenas de compromiso orquestadas por el Mustang Panda emplean una serie de tácticas sofisticadas. Estos incluyen el uso de mensajes de phishing como mecanismo de entrega de una carga útil de primera etapa. Esta carga útil, al tiempo que presenta un documento señuelo al destinatario, descomprime subrepticiamente un ejecutable legítimo firmado que es susceptible de carga lateral de DLL. Esta técnica de carga lateral de DLL se emplea luego para cargar una biblioteca de enlaces dinámicos (DLL), que descifra y ejecuta el malware PlugX.

Una vez implementado, el malware PlugX procede a recuperar el troyano de acceso remoto (RAT) Poison Ivy o el Cobalt Strike Beacon, estableciendo una conexión con un servidor controlado por Mustang Panda. Esta intrincada secuencia de acciones resalta la naturaleza avanzada y persistente de las operaciones cibernéticas de Mustang Panda.

La puerta trasera DOPLUGS es una nueva incorporación al arsenal de malware de un grupo cibercriminal

Observado inicialmente por investigadores en septiembre de 2022, DOPLUGS funciona como un descargador equipado con cuatro comandos de puerta trasera distintos. En particular, uno de estos comandos está diseñado para facilitar la descarga de la versión convencional del malware PlugX.

Los expertos en seguridad también han detectado variaciones de DOPLUGS que incorporan un módulo llamado KillSomeOne . Este complemento tiene múltiples propósitos, incluida la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.

Esta variante particular de DOPLUGS incluye un componente de lanzador adicional. Este componente ejecuta un ejecutable legítimo, empleando técnicas de carga lateral de DLL. Además, admite funcionalidades como la ejecución de comandos y la descarga del malware de la siguiente etapa desde un servidor controlado por el actor de la amenaza.

En enero de 2020, investigadores de infosec descubrieron una variante de PlugX personalizada con el módulo KillSomeOne, diseñado específicamente para la propagación a través de unidades USB. El malware se implementó como parte de una serie de ataques dirigidos a Hong Kong y Vietnam.

A finales de 2023, salió a la luz una campaña Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas que utilizan DOPLUGS. La operación de ataque mostró una característica distintiva: la DLL dañina fue creada utilizando el lenguaje de programación Nim. A diferencia de sus predecesores, esta nueva variante emplea una implementación única del algoritmo RC4 para descifrar PlugX, divergiendo del uso convencional de la biblioteca Windows Cryptsp.dll en versiones anteriores.